EU-organet for kybersikkerhet, Enisa («European Network and Information Security Agency») har utgitt to dokumenter som varsler et EU-initiativ for å bekjempe botnett, det vil si ansamlinger av pc-er tilknyttet Internett, som misbrukes av kriminelle for å spre uønsket e-post, angripe nettsteder og tappe ofre for personopplysninger.
Dokumentene – Botnets: Measurement, Detection, Disinfection and Defence og Botnets: 10 Tough Questions ble offentliggjort i går ettermiddag, tilfeldigvis rett etter at det ble kjent at angripere har brukt sin kontroll over 150 pc-er i det franske finansdepartementet til å tappe dokumenter knyttet til to viktige internasjonale møter som skal holdes i Frankrike i år, henholdsvis G8-toppmøtet i Deauville i mai, og G20-toppmøtet i Cannes i november. Det er siden kommet fram at også Elysee-palasset og utenriksdepartementet er rammet.
Rapportene er redigert av Giles Hogben, Enisa, og skrevet av tre eksperter fra det tyske Fraunehofer Institute med utgangspunkt i et stort antall bidragsytere fra privat og offentlig sektor samt akademia. En av de mest kjente av disse er Mikko Hypponen fra F-Secure.
Hogben peker på at botnett utløser mange hundre millioner euro i investeringer i IKT-sikkerhet, og at de i praksis definerer den europeiske agendaen for til IKT-politikk, samtidig som man har begrenset forståelse av fenomenet.
Rapportene avdekker for eksempel at det er store svakheter i metodene som brukes for å anslå hvor omfattende botnett er. Mer stringente undersøkelser tyder på at den mest utbredte målemetoden overdriver størrelsen med fra 100 til 300 prosent. På den andre siden er det feil å bruke størrelse som hovedmål på hvor truende et botnett er. Det advares også at det er trolig eksisterer en mengde botnett som ennå ikke er avslørt.
Det foreslås tiltak for å angripe fenomenet fra tre synsvinkler:
- Motvirke eksisterende botnett
- Hindre nye infeksjoner
- Begrense botnettenes lønnsomhet for de kriminelle gruppene som står bak
Rapportene krever EU-framstøt for å samordne lovgivningen i medlemslandene. Et sentralt spørsmål er IP-adressers juridiske status som personopplysninger, som også ligger til grunn for striden rundt EUs direktiv om lagring av trafikkdata.
I rapporten Botnets: 10 Tough Questions settes dette på spissen slik:
– IP-adresser er den viktigste identifikatoren, for både sikkerhetsforskere og tilbydere, for datamaskiners tilknytning til nettverk. Mer effektive tiltak mot botnett krever en praktisk orientert strategi for å balansere personvern og lovgivning rundt persondata, med evnen til å etterforske datakriminalitet. Bare å gi europeiske internettilbydere muligheten til å inspisere trafikk for å avdekke kontakt med IP-adresser kjent for ondsinnet virksomhet, ville gitt en mer effektiv mulighet til å avdekke infeksjoner på deres kunders pc-er.
Rapportene er opptatt av å gi incentiver til både brukere og tilbydere for å høyne sikkerheten. Enisa mener tilbydere bør kompenseres for det merarbeidet en løpende trafikkanalyse vil medføre, og de mener også at brukere som aktivt prøver å holde sine pc-er rene for ondsinnet kode bør kompenseres. Ellers understrekes det at rutiner der brukere varsles om at de er smittet, og tilbys enkle metoder for å kvitte seg med eventuell smitte, krever samarbeid på tvers av landegrensene og en justering og en samordning av EU-medlemmenes lovverk.
Rapportene skal behandles på en konferanse i Köln i morgen.
Les også:
- [30.06.2011] Forskere fant «uovervinnelig» botnett
- [07.03.2011] Frankrike rammet av hackere
